利用iptables给Docker绑定一个外网IP

最新推荐文章于 2025-03-07 14:42:12 发布
转载 最新推荐文章于 2025-03-07 14:42:12 发布 · 923 阅读 · 1

本文介绍如何通过iptables为Docker容器绑定外部IP地址,实现容器像虚拟机一样与外部网络通信。包括为主机绑定多个IP地址、设置DNAT与SNAT规则等步骤。

背景

由于Docker默认是不能够与外部进行直接的通信,比较普遍的仿佛是利用启动时-p来与主机进行端口映射与外界沟通。但是有时候在有其他需求时并不太方便,特别是在进行一些docker打包之前的内部开发时,希望其能够像虚机一样能够与外部有很好的通信,便希望其能够绑定外部的IP地址。 
docker默认的网络是桥接在创建好后的网桥docker0上的。docker0默认的典型地址为172.17.42.1,子网掩码为255.255.0.0。之后启动容器会给容器分配一个同一网段(172.17.0.0/16)的地址。然后启动docker容器时会创建一对veth pair。其中一端为容器内部的eth0,另外一端为挂载到docker0网桥并以veth开头命名。如下所示:

#brctl show
bridge name bridge id STPenabled interfaces
docker0 8000.56847afe9799 no veth135f096
veth5f8fe2d
 
  • 1
  • 2
  • 3
  • 4

 
  • 1
  • 2
  • 3
  • 4

通过这种方式,容器可以跟主机以及容器之间进行通信,主机和容器共享虚拟网络。 
在做开发等时候,可能希望容器能够像虚机一样远程登录与访问,这时候就需要给容器再绑定一个外部IP地址,这时候即可考虑采用iptables进行端口转发来实现对于容器的外部IP绑定。

环境

一台ubuntu的服务器,所属网段为10.50.10.0/26,该服务器的IP为10.50.10.26,由于还使用了ovs,因此是该IP是在br-ex上的; 
一个ubuntu的容器,IP为172.17.0.1/26 。

目的

通过iptables为IP为172.17.0.1的容器绑定外部IP 这里为10.50.10.56.

过程

整个过程大致分为3部分:

1. 为主机绑定多个IP地址

这一步可以通过如下命令来给网桥绑定另外一个IP:

#ifconfig br-ex:010.50.10.56/24
 
  • 1

 
  • 1

如果希望重启机器后仍然能够生效,需要将其写入到/etc/network/interfaces中。

2. iptables设置DNAT

通过DNAT来重写包的目的地址,将指向10.50.10.56的数据包的目的地址都改为172.17.0.1,这样即可以

#iptables -t nat -A PREROUTING -d 10.50.10.56 -p tcp -m tcp --dport 1:65535 -j DNAT--to-destination 172.17.0.1:1-65535
 
  • 1

 
  • 1

3. iptables设置SNAT

重写包的源IP地址,即在容器中收到数据包之后,将其源改为docker0的地址。

#iptables -t nat -A POSTROUTING -d 172.17.0.1 -p tcp -m tcp --dport 1:65535 -j SNAT --to-source172.17.42.1
 
  • 1

 
  • 1

保存规则

如果希望保存下来,需要通过命令:

#/etc/init.d/iptables save
 
  • 1

 
  • 1

来进行保存。

删除规则

当然如果想删除该规则,也可以通过

# iptables –t nat –D PREROUTING <number>
# iptables –t nat –D POSTROUTING <number>
 
  • 1
  • 2

 
  • 1
  • 2

来将创建的这两条规则删除。

验证

首先通过iptables来查看是否生效。

# iptables -n -t nat -L
Chain PREROUTING (policyACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 10.50.10.56 tcp dpts:1:65535to:172.17.0.1:1-65535
Chain INPUT (policyACCEPT)
target prot opt source destination
Chain OUTPUT (policyACCEPT)
target prot opt source destination
DOCKER all -- 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policyACCEPT)
target prot opt source destination
MASQUERADE all -- 10.50.10.0/26 0.0.0.0/0
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0
SNAT tcp -- 0.0.0.0/0 172.17.0.1 tcp dpts:1:65535 to:172.17.42.1
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14

然后可以通过安装ssh或者apache2等需要使用端口的服务来进行验证。

当然实现这个功能会有很多种方法,欢迎大家来拍砖~

参考

1,《Docker——从入门到实践》:高级网络配置 
http://dockerpool.com/static/books/docker_practice/advanced_network/README.html 
2,The netfilter/iptables HOWTO’s 
http://www.netfilter.org/documentation/index.html 
3,Iptables 指南 

http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html


转自:http://blog.youkuaiyun.com/shipengfei92/article/details/47089055

虚拟专用网连接异地机房部署方案
lvshaorong的博客
10-23 4612
企业在两地三中心或者异地机房时候,往往要实现多个机房之间的直通,所谓直通就是两个机房设备分别属于不同的网段,双方可以互ping对方机房某台服务器的物理IP地址,不做NAT转换,服务器在收到数据包时也可以看到发送方的真实IP地址。实现这种效果的方式很多,比如拉专线。本文介绍最廉价的方案——通过公网连接的虚拟专用网连接方案。 假设专线或者购买专门的虚拟专用网设备往往意味着不菲的开销,本文主要介绍完全...
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 1082
Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
Docker容器绑定外部IP和端口的方法
01-10
Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务。 以下操作通过myfirstapp镜像模拟,如何制作myfirstapp镜像请点击此处。 1、外部访问容器 容器启动之后,容器中可以运行一些网络应用,通过-p或-P参数来指定端口映射。 a、用-P(大写)标记时,docker会随机选择一个端口映射到容器内部开放的网络端口上。 $ docker run -d -P myfirstapp python app.py $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
Docker不能绑定静态的外网固定ip的问题及解决办法
09-30
主要介绍了Docker不能绑定静态的外网固定ip的问题及解决办法,需要的朋友可以参考下
DOCKER 为新启用的容器配置外网IP
weixin_30873847的博客
06-21 756
网卡的配置文件存储在/etc/sysconfig/network-scripts/目录下。每个网卡的详细内容将会以不同的名字存储,比如ifcfg-enp0s3。 让我们看下ifcfg-enp0s3的细节。 cat /etc/sysconfig/network-scripts/ifcfg-enp0s3 示例输出: TYPE="Ethernet" BOOTPROTO="non...
绑定Dokcer容器到主机指定网卡的方法
09-30
这条命令创建了一个源地址转换(SNAT)规则,将所有源自172.17.0.0/16网段(Docker默认的docker0网桥IP范围)的数据包的源IP地址修改为10.0.0.100,使得这些数据包通过第二块网卡外出。对于进来的流量,可以通过`...
腾讯云 Docker 安装部署 MySQL 并提供外网连接
MHASNQ的博客
03-07 2503
腾讯云 Docker 安装部署 MySQL 并提供外网连接
今天也来点Docker,端口映射与容器互联
糖球溜溜的博客
11-30 1304
文章目录一、端口映射1.1 概述1.2 随机端口1.3 映射指定端口二、容器互联 一、端口映射 1.1 概述 在启动容器的时候,如果不指定对应的参数,在容器外部是无法通过网络来访问容器内部的网络应用和服务的。   当容器中运行一些网络应用,要让外部访问这些应用时,可以通过-p或-P参数来指定端口映射。当使用-P(大写P)标记时,Docker会随机映射一个端口到内部容器开放的网络端口 1.2 随机端口 [root@server5 apache]# docker run -d -P httpd:centos
Docker容器绑定外部ip和端口
qq_42014575的博客
05-09 7373
Docker容器绑定外部ip和端口 1、Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务 2、首先是外部访问容器: 2.1容器启动之后,容器可以运行一下网络应用,通过-p或-P参数来指定端口映射, 使用-P标记时,docker会随机选择一个端口映射到容器内部开放的网络端口上 2.2运行服务 #docker run -d -P training/webapp python app.py 2.3查看端口状态 #netstat -lnp | grep 32768(port) 2.4到浏览器可以
docker容器绑定外部IP和端口、容器间互联
千寻的博客
04-08 2799
通过-p或-P参数来指定端口映射,使用-P(大写)标记时,docker会随机选择一个端口映射到容器内部开放的网络端口 启动容器docker run -d -P training/webapp python app.py,随机分配了32769端口 访问后,可以链接到training/webapp容器: -p(小写)则可以指定要映射的端口,并且在一个指定端口上只可以绑定一个容器 doc...
Docker容器中设置外部服务器IP域名映射
liuwei0376的专栏
12-03 4064
背景: 在一些开发场景中,容器中的应用(如java应用)需要访问外部的大数据系统(如Hadoop、Spark),应用内部会通过如下hadoop配置文件: -rw-r–r-- 1 user 197121 3858 11月 25 15:37 core-site.xml -rw-r–r-- 1 user 197121 1732 11月 25 15:37 hdfs-site.xml -rw-r–r-- 1 user 197121 5110 11月 25 15:37 mapred-site.xml -rw-r–r-
Docker之网络配置
2302_78041486的博客
09-04 2720
Docker 的网络配置是指在 Docker 容器之间以及容器与外部网络之间建立通信的方式。Docker 提供了多种网络模式来满足不同的需求。桥接网络(bridge network)(容器创建的时候默认的模式)这是 Docker 的默认网络模式。它为容器创建一个虚拟网络桥接(bridge),容器之间可以通过这个桥接进行通信。容器通过分配的 IP 地址在桥接网络中通信,并且可以通过端口映射与主机进行通信。主机网络(host network)
docker 自定义桥接ip
Hacker-Prince
02-04 2802
一、简述VMware中三种网络模式 ​ 可能,对于许多接触Linux操作系统的朋友而言,起初都是通过虚拟机软件进行层层深入的学习。而对于其中一种软件——VMware软件的网络连接可能就是初学者的一个难题。可能一直都并不了解所提供的三种网络模式的原理和意义。那么本小节将简单讲述一下有关VMware的三种网络模式:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。而此三种分别对应于网卡设备中的VMnet0、VMnet1(或者后期新增创建的)、VMnet8(NAT网卡也只
Docker学习总结】16.Docker容器与外网的连接
FullStackDeveloper0的博客
03-01 2426
一、容器访问外部网络 容器要想访问外部网络,需要本地系统的转发支持。在Linux系统中,检查转发是否打开。 如果为 0,说明没有开启转发,则需要手动打开。 sysctl -w net.ipv4.ip_forward=1 二、容器访问控制 容器的访问控制,主要通过 Linux 上的 iptables 防火墙来进行管理和实现。 iptables ...
Redhat9+ADSL+IPTABLES+DHCPD解决方案(转)
congjukun0600的博客
08-10 191
Redhat9+ADSL+IPTABLES+DHCPD解决方案(转)[@more@]本解决方案要用到服务有 ppp0 , dhcp ,iptables ,squid (其中dhcp和squid可选择不装)最终实现目标: 服务器r...
Docker学习(13)——Docker容器通信(实现容器与外网通信)
ymeng9527的博客
08-05 3197
稍后添加详细说明
docker容器内无法通过域名访问外网问题解决方案
热门推荐
技术人集结地
10-31 2万+
问题描述 docker中有的时候需要从容器内向外网环境进行访问,这个时候我边出现了一个诡异的问题,从容器的宿主机直接通过curl命令使用域名可以正常的访问并返回正确的解决,但是从容器中向外调用外网环境的这个域名的时候,curl命令会被卡住,一直到超时都没有任何返回数据,但是一个很神奇的事情是,如果将该域名换成对应的IP的时候,从容器内向外调用外网环境的这个IP的时候,这个时候就可以正确的返回结果 ...
Docker 网络配置 ( bridge 模式 && host 模式 && 自定义IP )
m0_58525944的博客
02-21 7788
OK!到这就结束了,希望能帮到你!!!
能不能绑定多个ip
最新发布
11-05
当然可以!**Docker 容器完全可以绑定多个 IP 地址**,你可以让同一个容器的服务通过 **多个不同的宿主机 IP(如 `192.168.100.100` 和 `10.20.29.49`)访问到**,每个 IP 都监听相同的端口或不同端口。 --- ### ✅ 方法:使用多个 `-p` 参数绑定多个 IP ```bash docker run -d \ --name webvirtcloud \ -p 192.168.100.100:8000:8000 \ -p 10.20.29.49:8000:8000 \ your-webvirtcloud-image ``` > 🔍 解释: - 将容器的 `8000` 端口映射到两个宿主机 IP 上: - `192.168.100.100:8000` - `10.20.29.49:8000` - 外部用户可以通过任意一个 IP + 端口访问服务 ✅ 效果: - 用户 A 访问:`http://192.168.100.100:8000` - 用户 B 访问:`http://10.20.29.49:8000` - 都能正常打开 WebVirtCloud 页面 --- ### 🌐 更灵活的用法示例 #### 1. 绑定多个 IP 到不同端口(用于测试/隔离) ```bash docker run -d \ --name webvirtcloud \ -p 192.168.100.100:8000:8000 \ -p 10.20.29.49:9000:8000 \ your-webvirtcloud-image ``` - `192.168.100.100:8000` → 容器 8000 - `10.20.29.49:9000` → 容器 8000(对外显示为 9000) 适合做灰度发布、内部调试等场景。 #### 2. 同时绑定 IPv4 和 IPv6 地址 ```bash -p 192.168.100.100:8000:8000 \ -p [2001:db8::1]:8000:8000 ``` 支持双栈网络环境。 #### 3. 绑定所有接口(0.0.0.0)+ 特定 IP(冗余配置) ```bash -p 0.0.0.0:8000:8000 ``` 等价于: ```bash -p 8000:8000 ``` 表示监听在宿主机的所有网卡上(包括 `lo`, `eth0`, `usb0` 等),只要请求发到任意 IP 的 `8000` 端口都能访问。 --- ### ✅ 验证是否成功绑定多个 IP 运行以下命令查看监听状态: ```bash netstat -tulnp | grep :8000 ``` 你应该看到类似输出: ```text tcp6 0 0 192.168.100.100:8000 :::* LISTEN 12345/docker-proxy tcp6 0 0 10.20.29.49:8000 :::* LISTEN 12346/docker-proxy ``` 或者使用 `ss` 命令: ```bash ss -tuln | grep :8000 ``` --- ### ⚠️ 注意事项 | 要点 | 说明 | |------|------| | **IP 必须存在于宿主机上** | 如果你写了一个不存在的 IP(如 `1.1.1.1`),Docker 会启动失败或无法监听 | | **防火墙需放行对应端口** | 每个 IP 的端口都需要在 `iptables` / `ufw` 中开放 | | **Django 的 ALLOWED_HOSTS 要包含这些 IP** | 否则返回 `400 Bad Request` | ```python # settings.py ALLOWED_HOSTS = [ '192.168.100.100', '10.20.29.49', 'localhost' ] CSRF_TRUSTED_ORIGINS = [ 'http://192.168.100.100', 'http://10.20.29.49', 'http://localhost' ] ``` --- ### ✅ 实际应用场景 | 场景 | 如何使用多 IP 绑定 | |------|------------------| | USB 网卡和以太网同时提供服务 | `usb0`: `192.168.100.100`, `eth0`: `10.20.29.49` | | 内外网分离访问 | 内网 IP 开放管理界面,外网 IP 只读 | | 多租户网络隔离 | 不同客户走不同 IP 接入 | | 高可用备用路径 | 主 IP 故障时切到备 IP | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值